項(xiàng)目概況

建黨100周年教育數(shù)據(jù)中心網(wǎng)***在中國(guó)通用招標(biāo)網(wǎng)（http***nder.com.cn/）進(jìn)行免費(fèi)注冊(cè)，注冊(cè)完成后請(qǐng)按照網(wǎng)上操作流程進(jìn)行購(gòu)買。獲取招標(biāo)文件，并于******月***日14點(diǎn)***分（北京時(shí)間）前遞交投標(biāo)文件。

一、項(xiàng)目基本情況

項(xiàng)目編號(hào)***tyle="text-indent:25px;line-height:27px;vertical-align:baseline">項(xiàng)目名稱:建黨100周年教育數(shù)據(jù)中心網(wǎng)絡(luò)安全保障整改專項(xiàng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障項(xiàng)目

預(yù)算金額*****元整（3,300,000.00）

采購(gòu)需求:

1.本次招標(biāo)共1包，具體招標(biāo)內(nèi)容如下:

注:本次招標(biāo)、投標(biāo)、評(píng)標(biāo)均以包為單位，投標(biāo)人須以包為單位***，如有多包，可投一包或多包，但不得拆包，不完整的投標(biāo)將被拒絕。

2.合同履行期限:服務(wù)期截至項(xiàng)目工作內(nèi)容執(zhí)行完成。

3.本項(xiàng)目不接受聯(lián)合體投標(biāo)。

二、申請(qǐng)人的資格要求:

1.滿足《中華人民共和國(guó)政府采購(gòu)法》第二十二條規(guī)定；

2.落實(shí)政府采購(gòu)政策需滿足的資格要求:無(wú)

3.本項(xiàng)目的特定資格要求:

（1）在中華人民共和國(guó)境內(nèi)注冊(cè)登記，有生產(chǎn)或供應(yīng)能力的本國(guó)供應(yīng)商，包括法人、其他組織和自然人。

（2）投標(biāo)人應(yīng)遵守《中華人民共和國(guó)政府采購(gòu)法》《中華人民共和國(guó)政府采購(gòu)法實(shí)施條例》等法律法規(guī)，并符合本招標(biāo)文件***。

1）具有獨(dú)立承擔(dān)民事責(zé)任的能力；

2）具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度；

3）具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；

4）具有依法繳納稅收和社會(huì)保障資金的良好記錄；

5）參加此項(xiàng)采購(gòu)活動(dòng)前三年內(nèi)，在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄；

6）本項(xiàng)目投標(biāo)截止期前被“信用中國(guó)”網(wǎng)站列入失信被執(zhí)行人和重大稅收違法案件當(dāng)事人名單的、被“中國(guó)政府采購(gòu)網(wǎng)”網(wǎng)站列入政府采購(gòu)嚴(yán)重違法失信行為記錄名單（處罰期限尚未屆滿的），不得參與本項(xiàng)目的政府采購(gòu)活動(dòng)；

7）法律、行政法規(guī)規(guī)定的其他條件；

8）投標(biāo)人按照招標(biāo)公告的要求購(gòu)買招標(biāo)文件；

三、獲取招標(biāo)文件

1.時(shí)間:******月***日至******月***日，每天上午9:00至12:00，下午1:00至5:00。（北京時(shí)間，法節(jié)假日除外）

2.地點(diǎn):有意向的投標(biāo)人應(yīng)先在中國(guó)通用招標(biāo)網(wǎng)（http***nder.com.cn/）進(jìn)行免費(fèi)注冊(cè)，注冊(cè)完成后請(qǐng)按照網(wǎng)上操作流程進(jìn)行購(gòu)買。

3.方式:網(wǎng)上購(gòu)買。購(gòu)買標(biāo)書(shū)流程:投標(biāo)人先在通用招標(biāo)網(wǎng)招標(biāo)文件***（標(biāo)）下填寫招標(biāo)文件***。填寫招標(biāo)文件***，選擇網(wǎng)上支付方式購(gòu)買招標(biāo)文件，標(biāo)書(shū)款支付成功后，即可下載招標(biāo)文件。發(fā)票領(lǐng)取方式為:電子發(fā)票（自動(dòng)發(fā)送至郵箱）或現(xiàn)場(chǎng)領(lǐng)??；特別提示:若為電匯方式，每次購(gòu)買標(biāo)書(shū)申請(qǐng)系統(tǒng)生成的賬號(hào)不同，請(qǐng)按照系統(tǒng)生成的賬號(hào)進(jìn)行付款，不要重復(fù)支付；匯款金額***提示金額***將會(huì)被退回。中國(guó)通用招標(biāo)網(wǎng)技術(shù)支持電話:400-680-8126。

4.售價(jià)***元，本公告包含的招標(biāo)文件***。

四、提交投標(biāo)文件截止時(shí)間***、開(kāi)標(biāo)時(shí)間和地點(diǎn)

1.提交投標(biāo)文件截止時(shí)間***:******月***日14點(diǎn)***分（北京時(shí)間）

2.開(kāi)標(biāo)時(shí)間:******月***日14點(diǎn)***分（北京時(shí)間）

3.地點(diǎn):***市***區(qū)西三***路14號(hào)院首科大廈A座4層405***會(huì)議中心

五、公告期限

自本公告發(fā)布之日起5個(gè)工作日。

六、其他補(bǔ)充事宜

無(wú)

七、對(duì)本次招標(biāo)提出詢問(wèn)，請(qǐng)按以下方式聯(lián)系。

1.采購(gòu)人信息

名稱:***（教育部政府采購(gòu)中心）

地址:***市***區(qū)西直門***街32號(hào)楓藍(lán)國(guó)際中心***樓B座1706

聯(lián)系方式:李老師 ***

2.采購(gòu)代理機(jī)構(gòu)***

名稱:***

地址:***市***區(qū)西三***路90號(hào)通用技術(shù)大廈1110室

聯(lián)系方式:車雯雯、張赤南 ***、***

3.項(xiàng)目聯(lián)系方式

項(xiàng)目聯(lián)系人***/span>

電話:010－***

采購(gòu)需求

一、項(xiàng)目介紹

1.財(cái)政資金

2.預(yù)算金額***an>人民幣 叁佰叁拾萬(wàn) 3,300,000.00）

3.采購(gòu)標(biāo)的所屬行業(yè):軟件和信息技術(shù)服務(wù)業(yè)

4.所要達(dá)到的目標(biāo)前景:根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)要求，落實(shí)教育部網(wǎng)絡(luò)安全指導(dǎo)文件和標(biāo)準(zhǔn)規(guī)范要求，對(duì)12個(gè)擬定的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)展源代碼分析審計(jì)、滲透測(cè)試，發(fā)現(xiàn)安全漏洞；對(duì)15家教育系統(tǒng)單位（省級(jí)教育行政部門、部直屬單位、部屬高校）開(kāi)展現(xiàn)場(chǎng)安全檢查評(píng)估。排查教育系統(tǒng)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施存在的安全隱患，提高系統(tǒng)安全防護(hù)能力，切實(shí)降低系統(tǒng)的安全風(fēng)險(xiǎn)，保障系統(tǒng)的安全穩(wěn)定運(yùn)行，顯著提高教育系統(tǒng)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力，提供專業(yè)的網(wǎng)絡(luò)安全保障。開(kāi)展建黨100周年教育數(shù)據(jù)中心網(wǎng)絡(luò)安全保障整改專項(xiàng)-關(guān)鍵信息基礎(chǔ)設(shè)施安全保障服務(wù)。

二、項(xiàng)目履約時(shí)間與地點(diǎn)

1.履約時(shí)間:服務(wù)期截至項(xiàng)目工作內(nèi)容執(zhí)行完成

2.履約地點(diǎn):北京

三、服務(wù)要求

非單一服務(wù)采購(gòu)項(xiàng)目，采購(gòu)人應(yīng)當(dāng)根據(jù)采購(gòu)項(xiàng)目技術(shù)構(gòu)成、服務(wù)價(jià)***理確定核心服務(wù)，并在招標(biāo)文件***。

3.1服務(wù)內(nèi)容

本項(xiàng)目的重點(diǎn)工作任務(wù)和內(nèi)容如下:

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)要求，落實(shí)教育部網(wǎng)絡(luò)安全指導(dǎo)文件和標(biāo)準(zhǔn)規(guī)范要求，對(duì)12個(gè)擬定的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)展源代碼分析審計(jì)、滲透測(cè)試，發(fā)現(xiàn)安全漏洞；對(duì)15家教育系統(tǒng)單位（省級(jí)教育行政部門、部直屬單位、部屬高校）開(kāi)展現(xiàn)場(chǎng)安全檢查評(píng)估。排查教育系統(tǒng)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施存在的安全隱患，提高系統(tǒng)安全防護(hù)能力，切實(shí)降低系統(tǒng)的安全風(fēng)險(xiǎn)，保障系統(tǒng)的安全穩(wěn)定運(yùn)行，顯著提高教育系統(tǒng)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力，提供專業(yè)的網(wǎng)絡(luò)安全保障。

本項(xiàng)目重點(diǎn)任務(wù)及實(shí)施內(nèi)容如下:

3.1.1開(kāi)展專項(xiàng)安全檢測(cè)

重點(diǎn)對(duì)12個(gè)擬定的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施（部本級(jí)系統(tǒng)）開(kāi)展源代碼分析審計(jì)、滲透測(cè)試，發(fā)現(xiàn)安全漏洞。協(xié)助安全整改、配合安全漏洞修復(fù)驗(yàn)證；深層次發(fā)現(xiàn)安全隱患與漏洞，提升教育系統(tǒng)整體信息系統(tǒng)安全防護(hù)能力。

具體工作內(nèi)容要求如下:

l源代碼審計(jì)

在實(shí)施代碼審計(jì)工作前，投標(biāo)人應(yīng)與采購(gòu)人對(duì)代碼審計(jì)服務(wù)相關(guān)的技術(shù)細(xì)節(jié)進(jìn)行詳細(xì)溝通，由此確認(rèn)代碼審計(jì)的方案。方案內(nèi)容主要包括:代碼審計(jì)范圍、審計(jì)對(duì)象、審計(jì)方式、審計(jì)要求和審計(jì)時(shí)間等內(nèi)容；

（1）投標(biāo)人提供的服務(wù)人員應(yīng)根據(jù)服務(wù)類型對(duì)審計(jì)對(duì)象進(jìn)行審計(jì)。在代碼審計(jì)實(shí)施過(guò)程中，服務(wù)人員首先使用源代碼掃描工具對(duì)審計(jì)對(duì)象進(jìn)行初步的信息收集，然后由人工方式對(duì)源代碼掃描結(jié)果進(jìn)行分析和確認(rèn)，最終結(jié)合自動(dòng)化源代碼掃描工具的結(jié)果和人工代碼審計(jì)的結(jié)果，由服務(wù)人員整理并編制初測(cè)報(bào)告，提交給采購(gòu)人就報(bào)告內(nèi)容進(jìn)行溝通；

（2）經(jīng)過(guò)第一次代碼審計(jì)報(bào)告提交和溝通后，等待采購(gòu)人針對(duì)代碼審計(jì)發(fā)現(xiàn)的問(wèn)題進(jìn)行整改或加固。經(jīng)整改或加固后，服務(wù)人員進(jìn)行回歸檢查。檢查結(jié)束后提交給采購(gòu)人復(fù)測(cè)報(bào)告并對(duì)復(fù)測(cè)結(jié)果進(jìn)行確認(rèn)、溝通；

（3）根據(jù)初測(cè)和復(fù)測(cè)結(jié)果，整理代碼審計(jì)服務(wù)輸出成果，最終匯報(bào)項(xiàng)目采購(gòu)人。

交付內(nèi)容:

《代碼審計(jì)服務(wù)實(shí)施方案》；

《代碼審計(jì)服務(wù)初測(cè)報(bào)告》，每個(gè)系統(tǒng)1份，共計(jì)12份；

《代碼審計(jì)服務(wù)復(fù)測(cè)報(bào)告》，每個(gè)系統(tǒng)1份，共計(jì)12份；

《代碼審計(jì)服務(wù)總結(jié)報(bào)告》，每個(gè)系統(tǒng)1份，共計(jì)12份。

l滲透測(cè)試

投標(biāo)人需根據(jù)采購(gòu)人的業(yè)務(wù)系統(tǒng)要求，通過(guò)信息收集、漏洞挖掘、痕跡清理、輸出報(bào)告。

（1）信息收集:信息收集是滲透的前期基礎(chǔ)工作，投標(biāo)人需提供網(wǎng)絡(luò)信息收集、目標(biāo)系統(tǒng)信息收集、端口服務(wù)信息收集等相關(guān)工作服務(wù)計(jì)劃與內(nèi)容。

（2）網(wǎng)絡(luò)信息收集:包括IP 地址、域名信息等收集結(jié)果，防火墻規(guī)則探測(cè)，網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)，以及目標(biāo)系統(tǒng)中一些邊緣信息如內(nèi)部員工帳號(hào)組成、身份識(shí)別方式、郵件聯(lián)系地址***。簡(jiǎn)單的描繪出目標(biāo)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)并對(duì)結(jié)構(gòu)弱點(diǎn)的初步判斷。

（3）目標(biāo)系統(tǒng)信息收集:通過(guò)數(shù)據(jù)包抓取，可對(duì)web系統(tǒng)和數(shù)據(jù)庫(kù)安全情況進(jìn)行初步感知。檢查應(yīng)用系統(tǒng)架構(gòu)，判斷系統(tǒng)防繞過(guò)加固現(xiàn)狀；檢查身份認(rèn)證模塊，判斷身份認(rèn)證基礎(chǔ)設(shè)施加固現(xiàn)狀；檢查數(shù)據(jù)庫(kù)接口模塊，判斷系統(tǒng)權(quán)限加固現(xiàn)狀；檢查文件接口模塊，判斷系統(tǒng)文件訪問(wèn)加固情況。

（4）端口/服務(wù)信息收集:通過(guò)工具掃描操作，獲取端口/服務(wù)等信息。

（5）漏洞挖掘:投標(biāo)人需針對(duì)不同測(cè)試對(duì)象存在的不同安全風(fēng)險(xiǎn)，采用專業(yè)技術(shù)手段進(jìn)行全面的漏洞挖掘。挖掘工具需采用投標(biāo)人獨(dú)立自研的商業(yè)漏洞挖掘工具軟件，不接受免費(fèi)的開(kāi)源漏洞挖掘工具軟件。

根據(jù)上一步信息收集結(jié)果，包含不限于以下幾個(gè)方向挖掘潛在漏洞:

1）應(yīng)用程序中長(zhǎng)時(shí)間未更新的代碼段；

2）應(yīng)用程序中用于連接由不同開(kāi)發(fā)團(tuán)隊(duì)或者開(kāi)發(fā)者開(kāi)發(fā)的程序模塊的接口部分；

3）應(yīng)用程序中進(jìn)行調(diào)試和測(cè)試的部分代碼；

4）C/S模式（帶客戶端和服務(wù)端）的應(yīng)用中客戶端及服務(wù)端調(diào)用API的差異部分（例如網(wǎng)頁(yè)表單中的hide屬性字段）；

5）不受終端用戶直接影響的內(nèi)部請(qǐng)求（如IPC）。

（6）利用挖掘到的漏洞進(jìn)行權(quán)限提升，當(dāng)擁有了低權(quán)限的權(quán)限的時(shí)候，需要根據(jù)具體的情況進(jìn)行權(quán)限提升，得到更高的控制權(quán)，直到最高權(quán)限。通過(guò)權(quán)限提升，滲透深度的增加，可獲取更多的信息，不斷收集相關(guān)環(huán)境信息及漏洞情況，進(jìn)行綜合分析，從新的角度或著根據(jù)被拓展的滲透深度進(jìn)行進(jìn)一步的漏洞挖掘，重復(fù)執(zhí)行漏洞挖掘、漏洞利用和權(quán)限提升、獲取進(jìn)一步信息的操作過(guò)程。

（7）痕跡清理:在滲透測(cè)試過(guò)程中的漏洞挖掘與漏洞驗(yàn)證階段，可能會(huì)通過(guò)人工或工具寫入某些信息或?qū)δ承?**路徑進(jìn)行修改，有效的展示漏洞的危害以及造成的影響，投標(biāo)人需在滲透測(cè)試報(bào)告中詳細(xì)記錄滲透痕跡，并在滲透測(cè)試完成后進(jìn)行必要的清除過(guò)程，防止遺留的危險(xiǎn)文件或驗(yàn)證性木馬文件被其他人利用，造成重大的損失。

（8）輸出報(bào)告:在投標(biāo)人完成滲透測(cè)試服務(wù)之后，需針對(duì)不同系統(tǒng)提供《滲透測(cè)試初測(cè)報(bào)告》，并在復(fù)測(cè)完成后出具《滲透測(cè)試復(fù)測(cè)報(bào)告》。

l測(cè)試工具要求

投標(biāo)人應(yīng)提供自研滲透測(cè)試工具或漏洞掃描工具軟件并提供證明材料，包括但不限于:銷售許可證、軟件著作權(quán)。

l工作量及工作方式要求

每個(gè)系統(tǒng)源代碼分析審計(jì)服務(wù)需進(jìn)行現(xiàn)場(chǎng)服務(wù)，服務(wù)人數(shù)不少于2人，服務(wù)時(shí)間不少于10個(gè)工作日。

每個(gè)系統(tǒng)滲透測(cè)試服務(wù)需進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程服務(wù)，服務(wù)人數(shù)不少于2人，服務(wù)時(shí)間不少于5個(gè)工作日。

l交付內(nèi)容:

《滲透測(cè)試服務(wù)實(shí)施方案》；

《滲透測(cè)試服務(wù)初測(cè)報(bào)告》，每個(gè)系統(tǒng)1份，共計(jì)12份；

《滲透測(cè)試服務(wù)整改建議》，每個(gè)系統(tǒng)1份，共計(jì)12份；

《滲透測(cè)試服務(wù)復(fù)測(cè)報(bào)告》，每個(gè)系統(tǒng)1份，共計(jì)12份。

3.1.2現(xiàn)場(chǎng)安全檢查評(píng)估

對(duì)15家教育系統(tǒng)單位（含省級(jí)教育行政部門、部直屬單位、部屬高校）開(kāi)展現(xiàn)場(chǎng)安全檢查評(píng)估。通過(guò)網(wǎng)絡(luò)安全現(xiàn)場(chǎng)檢查，了解被檢查單位***，網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況，查找網(wǎng)絡(luò)安全工作管理、安全技術(shù)防護(hù)、數(shù)據(jù)保護(hù)等方面存在的突出問(wèn)題和薄弱環(huán)節(jié)，形成有針對(duì)性的安全檢查總結(jié)報(bào)告。通過(guò)現(xiàn)場(chǎng)檢查促進(jìn)被檢查單位***、預(yù)防和減少網(wǎng)絡(luò)安全事件的發(fā)生，切實(shí)保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行。

具體工作內(nèi)容如下:

投標(biāo)人需對(duì)15家教育系統(tǒng)單位（含省級(jí)教育行政部門、部直屬單位、部屬高校）進(jìn)行管理制度及技術(shù)體系進(jìn)行安全檢查。

l管理角度

通過(guò)安全管理制度體系評(píng)估，投標(biāo)人需向采購(gòu)人提供安全管理脆弱性分析和指導(dǎo)整改建議。工作內(nèi)容主要為對(duì)被檢查單位***。評(píng)估方式包括問(wèn)卷調(diào)查、訪談、文檔審核等。根據(jù)現(xiàn)場(chǎng)調(diào)研的結(jié)果，利用基礎(chǔ)風(fēng)險(xiǎn)分析法對(duì)制度上存在的關(guān)鍵風(fēng)險(xiǎn)進(jìn)行分析評(píng)估。形成評(píng)估報(bào)告，對(duì)現(xiàn)狀進(jìn)行總結(jié)，提出進(jìn)一步提高安全水平的優(yōu)化性建議。

l技術(shù)角度

采用安全工具軟件、人工審計(jì)、現(xiàn)場(chǎng)調(diào)查訪問(wèn)、技術(shù)檢測(cè)等方法，對(duì)被檢查單位***。

投標(biāo)人需從技術(shù)上對(duì)采購(gòu)人的安全現(xiàn)狀進(jìn)行分析，主要對(duì)15家教育系統(tǒng)單位（含省級(jí)教育行政部門、部直屬單位、部屬高校）開(kāi)展現(xiàn)場(chǎng)安全檢查評(píng)估，主要包括:

（1）針對(duì)采購(gòu)人指定的業(yè)務(wù)系統(tǒng)涉及的IP、域名、端口、服務(wù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)及調(diào)用關(guān)系、第三方模塊插件等進(jìn)行梳理，應(yīng)用層接口的調(diào)用情況，對(duì)外的入口情況，對(duì)內(nèi)入口情況，發(fā)現(xiàn)可能存在的漏洞，分析漏洞利用的風(fēng)險(xiǎn)，提出相關(guān)的安全建議。

（2）對(duì)采購(gòu)人現(xiàn)有安全類設(shè)備進(jìn)行調(diào)研和分析，協(xié)助采購(gòu)人對(duì)現(xiàn)有攻擊告警和安全策略進(jìn)行梳理分析，給出可落地的建議和策略配置，建立、完善、調(diào)整相關(guān)策略，確保策略設(shè)置準(zhǔn)確、嚴(yán)謹(jǐn)，充分發(fā)揮設(shè)備最大功能。檢測(cè)交換機(jī)、防火墻、路由器、入侵檢測(cè)系統(tǒng)等設(shè)備配置合理，安全設(shè)備防護(hù)是否有效，數(shù)據(jù)傳輸機(jī)制進(jìn)行。

（3）對(duì)采購(gòu)人DMZ、***區(qū)等重要***區(qū)域和指定信息系統(tǒng)進(jìn)行安全評(píng)估，利用漏洞掃描、主機(jī)安全評(píng)估手段、弱口令檢測(cè)、配置核查、內(nèi)網(wǎng)滲透、日志分析、專項(xiàng)評(píng)估等方式和手段開(kāi)展安全評(píng)估工作，并指導(dǎo)采購(gòu)人安全人員同步開(kāi)展、發(fā)現(xiàn)存在的問(wèn)題和安全隱患，給出相應(yīng)的加固建議，并協(xié)助采購(gòu)人開(kāi)展加固工作。

（4）提供技術(shù)手段，根據(jù)采購(gòu)人需求，協(xié)助開(kāi)展弱口令、非法外聯(lián)、敏感信息外泄、數(shù)據(jù)安全泄漏等專項(xiàng)信息安全檢查，并提出問(wèn)題整改建議。

l工具要求

投標(biāo)人應(yīng)提供自研主機(jī)安全評(píng)估軟件并提供證明材料，包括但不限于:銷售許可證、軟件著作權(quán)。

l 工作量及工作方式要求

對(duì)15家教育系統(tǒng)單位（含省級(jí)教育行政部門、部直屬單位、部屬高校）開(kāi)展現(xiàn)場(chǎng)安全檢查評(píng)估，采用現(xiàn)場(chǎng)服務(wù)方式，每個(gè)被檢查單位***2名工程師服務(wù)，服務(wù)時(shí)間不少于3個(gè)工作日。

l交付內(nèi)容:

《網(wǎng)絡(luò)安全現(xiàn)場(chǎng)檢查工作方案》；

《xx單位***》，每個(gè)被檢查單位1份，共計(jì)15份；

《xx單位***》，每個(gè)被檢查單位1份，共計(jì)15份；

《xx單位***》，每個(gè)被檢查單位1份，共計(jì)15份。

3.2服務(wù)計(jì)劃安排

根據(jù)項(xiàng)目總體進(jìn)度安排，安全服務(wù)在2021年11月完成招標(biāo)、合同簽署、首付款支付。服務(wù)期截至項(xiàng)目工作內(nèi)容執(zhí)行完成。服務(wù)內(nèi)容和計(jì)劃安排如下表所示:

3.3組織實(shí)施、保障措施及風(fēng)險(xiǎn)分析

為保證安全服務(wù)項(xiàng)目可以在本年度保質(zhì)保量的完成工作任務(wù)，我們將合理配置項(xiàng)目資源進(jìn)行組織實(shí)施，并采取必要的保障措施和風(fēng)險(xiǎn)防控措施，具體內(nèi)容如下:

（1）組織實(shí)施

根據(jù)項(xiàng)目招標(biāo)和項(xiàng)目實(shí)施過(guò)程中的實(shí)際需求，要求中標(biāo)廠商配備經(jīng)驗(yàn)豐富的項(xiàng)目經(jīng)理、技術(shù)負(fù)責(zé)人、安全工程師及安全咨詢顧問(wèn)等，根據(jù)項(xiàng)目實(shí)際進(jìn)展情況進(jìn)行調(diào)度安排。

該項(xiàng)目實(shí)施和運(yùn)行需要的建設(shè)機(jī)制、運(yùn)維機(jī)制、人員、經(jīng)費(fèi)及培訓(xùn)等保障措施如下:

1）協(xié)調(diào)機(jī)制

① 遵循統(tǒng)一協(xié)調(diào)，統(tǒng)一安排的原則；

② 準(zhǔn)備充分，認(rèn)真守時(shí)，減少對(duì)項(xiàng)目進(jìn)度的影響；/span>

③ 溝通方式:會(huì)議座談、電話、郵件等方式；

④ 會(huì)議總結(jié):每次召開(kāi)座談會(huì)議之后，需要形成規(guī)范的會(huì)議紀(jì)要并發(fā)送至項(xiàng)目組主要成員，溝通的郵件要求備份。

2）第三方保障措施

① 關(guān)鍵階段進(jìn)行專家評(píng)審，根據(jù)專家意見(jiàn)進(jìn)行整改；

③ 定期組織總集、監(jiān)理會(huì)議，溝通項(xiàng)目建設(shè)期間存在的問(wèn)題，及時(shí)整改。

（3）風(fēng)險(xiǎn)分析

本項(xiàng)目主要的風(fēng)險(xiǎn)來(lái)源于項(xiàng)目范圍、質(zhì)量、進(jìn)度、技術(shù)、項(xiàng)目外部等等方面。當(dāng)前突出風(fēng)險(xiǎn)如下:

1）根據(jù)項(xiàng)目技術(shù)、集成、部署等要求，應(yīng)用系統(tǒng)上線、部署時(shí)間存在變化風(fēng)險(xiǎn)；

2）項(xiàng)目本身相關(guān)的人或事物對(duì)項(xiàng)目造成的影響而產(chǎn)生的其它風(fēng)險(xiǎn)；

3）與項(xiàng)目本身無(wú)關(guān)，但又會(huì)直接影響到項(xiàng)目實(shí)施效果的客觀因素造成的非系統(tǒng)風(fēng)險(xiǎn)。

及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，需信息中心、投標(biāo)人共同研討規(guī)避風(fēng)險(xiǎn)，按時(shí)完成計(jì)劃。

3.4項(xiàng)目實(shí)施原則

l合規(guī)性原則

投標(biāo)人對(duì)采購(gòu)人的提供的服務(wù)內(nèi)容要求進(jìn)行服務(wù)，嚴(yán)格按照相關(guān)監(jiān)管部門和采購(gòu)人的要求進(jìn)行，確保實(shí)施過(guò)程的合法合規(guī)。

l標(biāo)準(zhǔn)性原則

l規(guī)范性原則

投標(biāo)人在實(shí)施工作中的過(guò)程和文檔，應(yīng)具有良好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制。

l最小影響原則

投標(biāo)人在實(shí)施過(guò)程中應(yīng)盡可能小的影響業(yè)務(wù)工作的正常開(kāi)展。

l保密性原則

投標(biāo)人嚴(yán)格按照保密協(xié)議的要求，進(jìn)行評(píng)估。對(duì)實(shí)施過(guò)程中的數(shù)據(jù)和結(jié)果嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位***。

3.5項(xiàng)目實(shí)施依據(jù)

國(guó)家法律法規(guī)/標(biāo)準(zhǔn):

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

GB/T 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則

GB/Z 20986-2007

GB/T 31722-2015 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理

GB/T 35284-2017 信息安全技術(shù) 網(wǎng)站身份和系統(tǒng)安全要求與評(píng)估方法

國(guó)際技術(shù)標(biāo)準(zhǔn):

ISO27000系列

ISO15408 信息技術(shù)安全評(píng)估準(zhǔn)則

安全應(yīng)用風(fēng)險(xiǎn)

ISO13335

CC-ISO15408 信息技術(shù)安全性評(píng)估準(zhǔn)則

NIST SP 800-30

NIST SP 800-26